Хотите всегда оставаться в курсе событий? Подписывайтесь на @cryptochan и получайте новости в нашем Telegram канале.
×
Расширения IIS все чаще используются в качестве бэкдоров Exchange
Microsoft заявляет, что злоумышленники все чаще используют вредоносные расширения веб-серверов Internet Information Services (IIS) для обхода непропатченных серверов Exchange, поскольку их труднее обнаружить по сравнению с веб-шеллами. Вредоносные расширения спрятаны глубоко внутри скомпрометированных серверов и их очень сложно обнаружить. При установке в правильном месте и использовании той же структуры, что и легитимные модули, расширения предоставляют киберпреступнику совершенный и надежный механизм сохраняемости. Обычно вредоносные расширения запускаются после развертывания веб-шелла в качестве первой полезной нагрузки в атаке. Модуль IIS развертывается позже, чтобы обеспечить незаметный и устойчивый к обновлениям доступ к взломанному серверу. После развертывания вредоносные модули IIS позволяют злоумышленнику извлекать учетные данные из системной памяти, собирать информацию из сети жертв и доставлять дополнительные полезные нагрузки. В период с января по май 2022 года в ходе атаки на серверы Microsoft Exchange злоумышленники развернули вредоносные расширения IIS, чтобы получить доступ к почтовым ящикам электронной почты жертв, удаленно выполнять команды и украсть конфиденциальные данные. Согласно отчету Microsoft , после разведки, сброса учетных данных и установления метода удаленного доступа киберпреступники использовали специальный бэкдор IIS «FinanceSvcModel.dll», который мог выполнять операции управления Exchange, такие как перечисление установленных учетных записей почтовых ящиков и экспорт почтовых ящиков для эксфильтрации. По словам Microsoft, модули IIS не являются распространенным форматом для бэкдоров, особенно по сравнению с типичными угрозами веб-приложений, такими как веб-оболочки, и поэтому их легко пропустить при стандартном мониторинге файлов. Для защиты от атак с использованием вредоносных модулей IIS корпорация Майкрософт рекомендует клиентам принять следующие меры: поддерживать актуальность своих серверов Exchange; поддерживать включенными антивирусные программы; проверять конфиденциальные роли и группы; ограничивать доступ к виртуальным каталогам IIS; устанавливать приоритет предупреждений; проверять файлы конфигурации и bin-папки. Ранее сообщалось, что злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager позволил хакеру сохранять постоянный и скрытый доступ к IT-инфраструктуре организации.
Похожие новости
- 10 Авг, 01:45
Mercado Libre расширит криптотрейдинг по всей Латинской Америке
Mercado Libre, крупнейшая компания электронной коммерции в Латинской Америке по рыночной стоимости, планирует расширить свою функцию криптотрейдинга по всему региону после успешного старта в Бразилии. В декабре пользователям Mercado Pago, цифрового к...
В мире за неделю
-
19 Май, 13:15+4 Посвящённая Сталину криптовалюта-мем должна сильно подорожать От Happy Coin News
-
19 Май, 08:52+5 K33: «Выплаты кредиторам биржи FTX могут вызвать на рынке бычий эффект»
-
17 Май, 03:09+4 Регулятор по ценным бумагам Индии призывает к регулированию криптовалюты
-
16 Май, 08:08+4 Что нужно знать до листинга Notcoin (NOT)
-
16 Май, 06:20+7 Минюст США предъявил обвинения двум братьям за кражу $25 млн в криптовалюте
-
12 Май, 09:00+4 Аналитики прогнозируют падение Ethereum (ETH) до $2 500